Является ли должностная инструкция персональными данными

В соответствии со ст. 57 ТК РФ в трудовом договоре обязательно указывается трудовая функция.
Необходимо ли в трудовом договоре работника дублировать должностные обязанности из его должностной инструкции, или достаточно при указании трудовой функции сделать ссылку на должностную инструкцию (например, «работник обязуется лично выполнять указанную работу в соответствии с условиями должностной инструкции»)? Является ли должностная инструкция обязательным документом, если трудовая функция работника будет прописана в его трудовом договоре?

Ответ:

Перечисление в трудовом договоре должностных обязанностей из должностной инструкции не является обязательным.

В ТК РФ не содержится упоминания о должностных инструкциях, их составление не является обязательным. Однако их утверждать рекомендуется.

Поскольку порядок составления должностной инструкции нормативными правовыми актами не урегулирован, работодатель самостоятельно решает, как ее оформить и вносить в нее изменения. Должностная инструкция может являться приложением к трудовому договору, а также утверждаться как самостоятельный документ.

При разработке должностных инструкций допускается уточнение перечня работ, которые свойственны соответствующей должности в конкретных организационно-технических условиях.

Правовое обоснование:

Трудовой кодекс Российской Федерации (далее — ТК РФ) в статье 16 определяет возникновение трудовых отношений между работником и работодателем на основании трудового договора.

Полномочие того или иного работника вытекает прежде всего из выполняемой им трудовой функции (работы по должности в соответствии со штатным расписанием, профессии, специальности с указанием квалификации; конкретного вида поручаемой работнику работы). Содержание трудовой функции определяется трудовым договором с работником (статьи 56, 57 ТК РФ) либо должностной инструкцией.

Источник

Закон «О персональных данных» (Закон от 27.07.2006 № 152-ФЗ) предписывает всем юрлицам проводить обработку персональных данных с учетом определенных требований. Это необходимо, чтобы обеспечить защиту прав и свобод человека, в том числе для защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Давайте разберемся, что такое в принципе персональные данные. И учитывая, что любая организация сталкивается с обработкой персональных данных своих работников, посмотрим, какие требования предъявляются к обработке персональных данных в трудовых отношениях.

Персональные данные – это …

Понятие «персональные данные» приведено в ст. 3 Закона от 27.07.2006 № 152-ФЗ. Это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Что можно отнести к персональным данным:

  • фамилия, имя, отчество;
  • пол;
  • возраст;
  • образование, квалификация;
  • место жительства;
  • семейное положение, наличие детей;
  • факты биографии и предыдущая трудовая деятельность;
  • прочие сведения, которые могут идентифицировать человека.

Отметим, что Роскомнадзор разъяснял, что сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 № 08КМ-3681). То есть организация, владеющая информацией о зарплате человека, обязана не раскрывать третьим лицам и не распространять эту информацию без согласия физлиц, если только иное не предусмотрено законом.

Что должен сделать работодатель, поскольку является оператором персональных данных, рассказала главный редактор журнала «Главная книга» Евгения Филимонова

Обновите / поменяйте браузер для просмотра видео
Посмотреть целиком вебинар «Бухгалтеру-кадровику посвящается: новшества-2025»

Далее поговорим о персональных данных работников, получать, обрабатывать и передавать которые вынуждена каждая организация-работодатель.

Какие документы содержат персональные данные работников

Персональные данные попадают в руки работодателей и при приеме на работу человека, и в процессе трудовой деятельности, и даже еще на этапе рассмотрения кандидатов, претендующих на работу в конкретной организации. Персональные данные содержатся в следующих документах:

  • анкеты, автобиографии, которые заполняют соискатели при приеме на работу;
  • копия паспорта;
  • копии документов об образовании;
  • копия СНИЛС;
  • трудовой договор с работником;
  • личная карточка Т-2 на работника;
  • трудовая книжка работника;
  • сведения о трудовой деятельности, которые заполняет организация при приме на работу человека, его увольнении, кадровых передвижениях;
  • копии свидетельств о заключении или расторжении брака, свидетельств о рождении ребенка;
  • документы воинского учета;
  • кадровые приказы в отношении работника и т.д.

Обработка персональных данных работников

Обработка персональных данных – это любые действия (операции), совершаемые с персональными данными с использованием или без использования средств автоматизации. То есть это сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача, удаление и уничтожение персональных данных (ст. 3 Закона от 27.07.2006 № 152-ФЗ).

До того, как работодатель начнет обрабатывать персональные данные работников, он должен уведомить об этом Роскомнадзор (ч. 1 ст. 22 Закона от 27.07.2006 № 152-ФЗ). Форма уведомления о намерении осуществлять обработку персональных данных приведена в Приказе Роскомнадзора от 28.10.2022 № 180.

Подробнее об уведомлении Роскомнадзора читайте здесь.

Согласие на обработку персональных данных

И еще одно важное условие. По общему правилу обработка персональных данных производится с согласия физлица. Причем согласие должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона от 27.07.2006 № 152-ФЗ).

Более того, в определенных ситуациях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона от 27.07.2006 № 152-ФЗ), например при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Это, к примеру, ситуация, когда работодатель получает сведения о среднем заработке работника от СФР.

Можно включить согласие на обработку персональных данных в трудовой договор. Или оформить такое согласие в форме отдельного документа.

Подробнее о согласии мы рассказали в отдельной консультации.

По общему правилу работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, а также сообщать персональные данные работника в коммерческих целях без его письменного согласия (ст. 88 ТК РФ). Правда, в случае с обработкой и передачей персональных данных работников есть особенности.

Когда не требуется согласие на обработку персональных данных работников: разъяснения Роскомнадзора

Согласие не требуется в тех случаях, когда обработка необходима в целях исполнения заключенного с работником договора или возложенных на работодателя обязанностей (п. 2, 5 ч. 1 ст. 6 Закона от 27.07.2006 № 152-ФЗ).

По данному вопросу были следующие Разъяснения Роскомнадзора.

  1. Обработка персональных данных работника не требует получения согласия этого лица при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным Трудовым кодексом.
  2. Не требуется получение согласия на обработку персональных данных при обработке специальных категорий персональных данных работника, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции в рамках трудового законодательства. В частности, речь идет об обработке персональных данных по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ).
  3. Не требуется согласие работника на передачу персональных данных работника третьим лицам в случаях, когда это предусмотрено Трудовым кодексом или иными федеральными законами. Так, в частности, работодатель обязан осуществлять обязательное социальное страхование работников. То есть передача персональных данных работников в Социальный фонд России может производиться без согласия работников.

Кроме того, работодатель в силу требований закона без согласия работника передает персональные данные работников в налоговые органы, военные комиссариаты, профсоюзные органы.

  1. Согласие работника не требуется при передаче его персональных данных в случаях, связанных с выполнением им должностных обязанностей, например при его командировании.
  2. Передача персональных данных работника банкам, открывающим и обслуживающим платежные карты для начисления зарплаты, может производиться без его согласия в следующих случаях:
  • договор на выпуск банковской карты заключается напрямую с работником и в тексте договора предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
  • у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск банковской карты и ее последующем обслуживании;
  • соответствующая форма и система оплаты труда (безналичным способом на банковские карты работника) прописана в коллективном договоре (ст. 41 ТК РФ).

3. Не требуется согласие работника при обработке персональных данных работника для пропускного режима на территорию служебных зданий и помещений работодателя, при условии, что работодатель сам организовал этот пропускной режим.

4. Если поступают запросы из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.

Право работника на доступ к собственным персональным данным

Работники имеют право на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника (ст. 89 ТК РФ). В частности, работодатель обязан выдать работнику копии документов, связанных с работой (в частности, кадровых приказов), выписки из трудовых книжек, справки о зарплате, периодах работы в данной организации, сведения о трудовой деятельности по утвержденной форме СТД-Р и т.д. Срок – в течение 3-х рабочих дней со дня поступления заявления от работника (ст. 62, 66.1 ТК РФ).

Защита персональных данных работников

Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту данных от неправомерного их использования или утраты. То есть порядок хранения и использования персональных данных работников устанавливается самим работодателем (ст. 87 ТК РФ).

Безусловно, в процессе работы возникают ситуации, когда одним работникам нужны персональные данные других работников. Например, бухгалтер начисляет работникам зарплату и подает на них определенные сведения в ИФНС и СФР. То есть ему нужен доступ ко многим (почти всем) персональным данным всех работников. Руководителю отдела нужны данные о зарплате своих подчиненных для контроля за выполнением трудовых обязанностей. Руководителю могут понадобиться паспортные данные работников, на которых он выписывает доверенность.

Работодатель может разрешить доступ к персональным данным работников только специально уполномоченным лицам. Причем им должны быть доступны только те данные, которые необходимы для выполнения конкретных функций (ст. 88 ТК РФ). Конкретный перечень работников, которые имеют доступ к персональным данным других работников, должен быть установлен локальным нормативным актом организации и приказом организации. Как правило, такой локальный нормативный акт называют Положение об обработке и защите персональных данных.

Кроме того, с работниками, которые в силу своих должностных обязанностей имеют доступ к персональным данным других работников, надо подписать соглашение о неразглашении данных, которые им стали известны в ходе трудовой деятельности (п. 43 Постановления Пленума Верховного Суда РФ от 17.03.2004 № 2).

Нужно ли менять трудовой договор при изменении персональных данных работника

Законодательно этот вопрос не урегулирован. Но, конечно, удобнее, когда трудовой договор содержит актуальные сведения. Поэтому можно заключить дополнительное соглашение к трудовому договору. В котором прописать изменившиеся персональные данные работника, например новую фамилию.

Ответственность за нарушения в области персональных данных

Работодатель, допустивший нарушения в области персональных данных, может быть привлечен к административной ответственности. Приведем размеры штрафов за некоторые нарушения (ст. 13.11 КоАП РФ).

А вот работника, который допустил нарушения при работе с персональными данными других работников, можно привлечь:

  • к дисциплинарной ответственности (замечание, выговор, увольнение по соответствующему основанию);
  • материальной ответственности (возмещение причиненного ущерба);
  • гражданско-правовой ответственности;
  • административной ответственности (ст. 13.14 КоАП РФ).

Вы также можете ознакомиться с подборкой статей по рассмотренному выше вопросу:

  • «Должен» – «не должен» в работе с персональными данными;
  • Персональные данные сотрудников: какие обязанности появились у работодателей;
  • Как вести личные дела работников, не нарушив Закон о персональных данных.

Источник

директор юридического департамента ООО
«Пимпэй Касса»

Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр. Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах. Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.

В п. 1 ст. 3 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее – ​Закон № 152‑ФЗ) предусмотрено, что персональные данные представляют собой любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Как видно из приведенного определения, закон не содержит исчерпывающего перечня сведений, которые входят в круг персональных данных. Соответственно, в каждом случае необходимо определить, может ли та или иная информация быть отнесена к конкретному лицу. Поможет в этом анализ судебной практики.

«Классические» персональные данные

К «классическим» персональным данным относятся Ф.И.О. физического лица, ведь они позволяют его идентифицировать среди остальной массы людей, поэтому без согласия человека обработка таких персональных данных не допускается.

Судебная практика

Банки не могут распространять платежные карты с открытыми данными клиентов, а управляющие компании рассылать в открытом виде платежные документы, поскольку в таком случае персональные данные людей не защищены от случайного к ним доступа со стороны третьих лиц (апелляционное определение Самарского областного суда от 17.10.2019 № 33-12118/2019).

Помимо Ф.И.О. к числу персональных данных физического лица также относится и конкретный адрес его проживания, включающий город, улицу, номера дома и квартиры, а вот неполный адрес (без указания определенной квартиры) уже не позволяет установить конкретного субъекта персональных данных. В многоквартирном доме находится много квартир, поэтому такой общий адрес нельзя соотнести с конкретным человеком.

Судебная практика

Типичным нарушением со стороны управляющей компании, под управлением которой находится жилой дом, является размещение на входной двери, ведущей в подъезд, на стендах и в иных местах, открытых для всеобщего доступа, информации о наличии задолженности по оплате электроэнергии и коммунальных платежей в отношении конкретных граждан с указанием номеров их квартир. Указанные сведения относятся к частной жизни конкретных лиц, поэтому их разглашение будет считаться нарушением, что дает пострадавшему лицу право требовать взыскания денежной компенсации морального вреда на основании ст. 151 ГК РФ (решение Московского районного суда г. Калининграда от 19.04.2017 по делу № 2-688/2017).

Некоторые особо восприимчивые граждане в такой ситуации могут вообще посчитать, что информация о наличии у них задолженности является оскорбительной и задевает их честь, достоинство и доброе имя. Однако порочащий характер сведений должен выражаться в оскорбительных высказываниях, а не в фиксации долга. Нарушение в данном случае состоит только в разглашении персональных данных (апелляционное определение Саратовского областного суда от 23.07.2019 по делу № 33-5366).

Здесь стоит отметить, что судебная практика по вопросу отнесения номеров квартир к числу персональных данных не является единообразной, есть примеры случаев, когда суды полагали возможным указание номеров квартир с информацией о наличии задолженности.

Судебная практика

Суд указал, что не будет считаться нарушением размещение информации о наличии задолженности по оплате электроэнергии и коммунальных услуг с перечнем соответствующих квартир, но без указания таких персональных данных, как Ф.И.О. (апелляционное определение Свердловского областного суда от 19.09.2019 по делу № 33-15137/2019).

Жители многоквартирного дома, проживающие в конкретном подъезде, скорее всего, знают друг друга в лицо и по имени, поэтому хоть и не всегда, но в определенных случаях могут соотнести данные о номере квартиры со своими соседями, что позволяет рассматривать номер квартиры как персональные данные конкретных лиц. При таких обстоятельствах можно сделать однозначный вывод: размещение информации о наличии задолженности на стенде подъезда многоквартирного дома с указанием конкретных номеров квартир может рассматриваться как нарушение законодательства о защите персональных данных. Иным образом будет обстоять дело в случае, когда на информационном стенде вывешивается не объявление, а индивидуальное обращение к конкретному лицу по вопросу, представляющему определенную значимость.

Судебная практика

Гражданин при входе в подъезд своего жилого дома неожиданно для себя увидел требовательную надпись о том, что ему надлежит вернуть аннулированную доверенность конкретному человеку. Гражданин полагал, что вывешивание такого объявления нарушает требования законодательства по защите персональных данных. Однако суд его требования не поддержал, отметив, что само по себе размещение информации не является обработкой персональных данных и не требует получения разрешения (апелляционное определение Волгоградского областного суда от 09.01.2019 по делу № 33-774/2019).

В состав персональных данных гражданина также входят год, дата, месяц и место его рождения, семейное и имущественное положение, уровень образования, размер доходов, а также иная информация, посредством которой можно идентифицировать конкретное физическое лицо. В качестве персональных данных можно также рассматривать серию и номер паспорта гражданина, которые представляют собой уникальную комбинацию цифр, указываемых в основном документе, удостоверяющем его личность. У другого гражданина реквизиты основного документа, удостоверяющего личность, будут другими, поэтому реквизиты паспорта также могут быть отнесены к числу персональных данных.

Персональные данные под вопросом

Профессию и образование, а также социальное положение в качестве персональных данных предлагает рассматривать Пермский краевой суд 1. По нашему мнению, профессию и образование нельзя считать персданными, поскольку сами по себе они могут быть относимы к большому количеству людей.

Как нам представляется, те или иные разрозненные сведения, рассматриваемые отдельно,…

Вы видите начало этой статьи. Выберите свой вариант доступа

Купить эту статью
за 700 руб.

Подписаться на
журнал сейчас

Получать бесплатные
статьи на e-mail

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для
этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение
    действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои
рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей
помощью!

Рекомендовано для вас

  • Свежие
  • Посещаемые

Что Роскомнадзор проверит в первую очередь и за что накажет

Ответственность за обработку персональных
данных с нарушениями продолжает ужесточаться. С 30.05.2025 за повторные нарушения по некоторым статьям начнут взыскивать оборотные штрафы. Автор анализирует три основных требования к работодателям, которые необходимо выполнить в первую очередь при обработке персданных работников и клиентов (уведомление Роскомнадзора, назначение ответственного лица, утверждение политики обработки персональных данных), а также последствия их несоблюдения. Объясняет, как правильно выполнить такие требования (с образцами документов и конкретных формулировок), на основе собственного опыта и разъяснений Роскомнадзора. Показывает судебную практику, которая «подсвечивает» узкие места.

Ольга Свириденко

юрист по трудовому праву компании «Мир
трудовых отношений»

Как закон о защите персданных распространяется на архивные документы

Документы с персональными данными находятся
под защитой закона о персданных. А что происходит с документами, когда они становятся архивными? Распространяется ли на них указанный закон и если да, то в какой части? Когда документ становится архивным? Как защищаются персональные данные, содержащиеся в таком документе? А как защищаются персданные при ответе архива на запросы граждан, в том числе и за границу? Автор анализирует нормативную базу и отвечает на указанные вопросы.

Наталья Храмцовская

к.и.н., ведущий эксперт по управлению документацией
компании «ЭОС», эксперт ИСО

На что работодателям обратить внимание в 2025 году?

Что ожидают эксперты от 2025 года? Какие изменения
повлияют на работодателей? Каким вопросам стоит уделить пристальное внимание уже сейчас? Журнал «Кадровая служба и управление персоналом предприятия» опросил экспертов и собрал самые интересные мнения. Спойлер: цифровизация внедряется во все сферы государственной жизни, а значит, контроль становится более избирательным, четким и тщательным. Наиболее рисковые сферы – воинский учет, персональные данные, миграционное законодательство и взаимоотношения с самозанятыми. Узнаете, сохранилась ли законотворческая деятельность и судебная практика с уклоном в сторону защиты интересов работников, какие проверяющие вероятнее всего придут с визитом в этом году, какие поправки стоит ввести в ЛНА в связи с последними изменениями в ТК РФ, а также почему удержание персонала становится для работодателей стратегической задачей.

Работа с персональными данными: ответы на вопросы

В конце мая журнал «Кадровая служба и управление
персоналом предприятия» и сайт delo-press.ru провели онлайн-семинар «Работа с персональными данными без ошибок». По итогам семинара мы собрали ответы спикера – ​эксперта по трудовым отношениям Юлии Жижериной – ​на вопросы слушателей семинара, дополнив их ссылками на нормативную базу и расширенную аргументацию. В частности, публикуем разбор следующих ситуаций: что делать, если работник отзывает свое согласие на обработку персданных; сколько целей обработки персданных можно указать в одном согласии; надо ли получать согласие работника на ведение видеозаписи, если камеры установлены только в коридорах; можно ли не издавать приказ о месте хранения и обработки персданных, а прописать это в ЛНА; кого указывать в приказе о перечне лиц, имеющих доступ к персданным; нужно ли согласие работника при добавлении его в общий чат мессенджера и пр.

Можно ли обязать держать зарплату в тайне?

Имеет ли право работодатель обязать сотрудника
не разглашать информацию о своей заработной плате или об оплате труда иных сотрудников? Относится ли эта информация к персональным данным или коммерческой тайне? На всех ли сотрудников можно возложить обязанность по неразглашению? Как правильно прописать это в документах? Какая ответственность может быть предусмотрена за разглашение? Имеет ли право работодатель предоставить информацию о зарплате сотрудника третьим лицам (например, супруге работника)? Ответим на эти вопросы, учитывая требования законодательства и судебную практику, а также дадим свои рекомендации и образцы документов, которые готовы к использованию на практике.

Елена Грозовская

адвокат Адвокатской палаты Саратовской
области

Документы по персональным данным, которые проверит Роскомнадзор

Любым организациям и ИП так или иначе приходится
обрабатывать персональные данные граждан. Показываем на конкретных примерах, какие документы работодателям необходимо иметь в наличии для успешного прохождения проверки соблюдения законодательства о персональных данных и как правильно их оформить, чтобы снизить риски возникновения споров.

Юлия Жижерина

юрист по трудовому праву

Татьяна Снежкина

юрист по трудовому праву

Правила уничтожения персональных данных

В каких ситуациях и в какие сроки необходимо
уничтожать персональные данные? Каков порядок их уничтожения? Что будет за нарушения в этой сфере? Какие документы составить, чтобы соблюсти установленные действующими нормативными правовыми актами требования? Отвечаем на эти и связанные с ними вопросы. Даем готовые образцы приказа о создании постоянно действующей комиссии по уничтожению документов, акта об уничтожении персданных, уведомления работника об уничтожении неправомерно использованных персональных данных. Предлагаем формулировки для локального нормативного акта компании (о порядке уничтожения таких конфиденциальных сведений) и договоров с контрагентами (с обязательством уничтожить передаваемые по договору персданные в установленных случаях).

Марина Дячук

частнопрактикующий юрист

Работа с персональными данными: ответы на вопросы

В конце мая журнал «Кадровая служба и управление
персоналом предприятия» и сайт delo-press.ru провели онлайн-семинар «Работа с персональными данными без ошибок». По итогам семинара мы собрали ответы спикера – ​эксперта по трудовым отношениям Юлии Жижериной – ​на вопросы слушателей семинара, дополнив их ссылками на нормативную базу и расширенную аргументацию. В частности, публикуем разбор следующих ситуаций: что делать, если работник отзывает свое согласие на обработку персданных; сколько целей обработки персданных можно указать в одном согласии; надо ли получать согласие работника на ведение видеозаписи, если камеры установлены только в коридорах; можно ли не издавать приказ о месте хранения и обработки персданных, а прописать это в ЛНА; кого указывать в приказе о перечне лиц, имеющих доступ к персданным; нужно ли согласие работника при добавлении его в общий чат мессенджера и пр.

Источник

Общие положения о защите персональных данных работника

Защита персональных данных работника – это комплекс мероприятий, направленных на безопасное хранение личной информации сотрудника, полученной при трудоустройстве или исполнении им трудовых обязанностей.

Работодатель является оператором персональных данных работника. Так называют государственный, муниципальный орган, юридическое лицо или ИП, которое получает, обрабатывает и хранит личную информацию сотрудников, определяет состав сведений, цели их сбора и перечень мероприятий, направленных на обработку (ст. 3 ФЗ-152 от 27.07.2006 г.).

Соблюдение законности сбора, обработки и хранения личной информации работников контролирует орган по защите прав субъектов персональных данных – Роскомнадзор:

  • введет реестр всех операторов, осуществляющих обработку сведений;
  • осуществляет контроль над соблюдением требований законодательства;
  • реагирует на обращения, жалобы субъектов персональных данных;
  • проводит проверку по поступившим сообщениям;
  • представляет интересы лиц, чьи права нарушены, в суде.

В целях обеспечения соблюдения работодателем ФЗ-152 уполномоченный орган по защите персональных данных проводит плановые и внеплановые проверки. Плановые мероприятия осуществляются по графику, внеплановые – при возникновении необходимости, например, в случае поступления от субъекта сообщения о незаконном раскрытии персональных данных.

Как защитить персональные данные: пошаговая инструкция

Работодатель, как оператор персональных данных, не должен раскрывать сведения о работниках третьим лицам и распространять их без согласия на то субъекта информации (ст. 7 ФЗ-152 от 27.07.2006 г). Он обязан обеспечить безопасность сбора, обработки и хранения, а также определить мероприятия по защите персональных данных (ст. 18.1 ФЗ-152 от 27.07.2006 г). В частности, законодательством предусмотрены следующие меры по обеспечению сохранности личной информации граждан:

  • назначение ответственного за безопасность персональных данных лица;
  • разработка локальной документации, определяющей порядок сбора, обработки и хранения рассматриваемых сведений;
  • применение регламентированных законом мер, направленных на безопасность персональных данных;
  • оценка возможного вреда, который возникнет в случае нарушения работодателем ФЗ-152;
  • ознакомление сотрудников, осуществляющих сбор, обработку, хранение сведений с нормами законодательства и их обучение (при необходимости).

Работодатель обязан обеспечить безопасность персональных данных работников, защитить их от несанкционированного доступа к ним, уничтожения, изменения, копирования, блокировки, чего достигают посредством выполнения комплекса мероприятий.

Разработка локальной документации о персональных данных сотрудников

Средства защиты персональных данных включают в себя не только технические меры, но и организационные. Первое, что обязан сделать работодатель – разработать положение о работе с личной информацией сотрудников. Отсутствие такого локального нормативно-правового акта приравнивается к неисполнению законодательства, содержащего нормы трудового права, что грозит административной ответственностью.

Единого образца положения о работе с персональными данными работников законодательством не установлено. Несмотря на это, в него нужно включить следующие сведения:

  • порядок и правила сбора, обработки, хранения и передачи персональных данных;
  • список документов, где содержится личная информация сотрудников;
  • перечень лиц, имеющих доступ к таким сведениям;
  • ответственных за безопасность персданных4
  • ответственность за раскрытие сведений и несоблюдение мер, направленных на обеспечение безопасности.

Положение подписывает руководитель предприятия. С его содержанием знакомят всех сотрудников компании под личную подпись. Отсутствие листа ознакомления, ровно так же, как и положения о сборе, обработке, хранении персданных является поводом для привлечения работодателя к административной ответственности.

Назначение лица, ответственного за обработку персональных данных работников

Правовая защита персональных данных осуществляется ответственным за это лицом. Его назначает руководитель организации из числа сотрудников. Как показывает практика, чаще всего им становится кто-то из топ-менеджеров, например:

  • начальник службы безопасности;
  • руководитель кадрового отдела;
  • старший менеджер ИТ-отдела;
  • заместитель генерального директора и др.

Кто именно из сотрудников будет отвечать за безопасность персональных данных большого значения не имеет. Такие функции может выполнять непосредственно руководитель организации. Например, индивидуальные предприниматели зачастую самостоятельно обеспечивает надлежащий сбор, обработку, хранение и раскрытие личной информации о сотрудниках. Главное – назначить ответственное лицо соответствующим приказом.

Определение доступа к персональным данным

Работодатель обязан использовать все доступные ему методы защиты персональных данных. По долгу службы некоторые сотрудники должны иметь постоянный доступ к личным сведениям работников. Например, кадровик оформляет кадровые документы, бухгалтер – назначает выплаты, в том числе в связи с рождением ребенка, болезнью, отпуском, секретарь – покупает билеты, бронирует отель и т.д. Для выполнения таких функций сотруднику нужны персональные данные других трудящихся. Чтобы каждый раз не брать согласие на получение и обработку такой информации, важно определить круг лиц, кто имеет доступ к ней по умолчанию.

Сотрудников, обрабатывающих и использующих персональные данные работников, наделяют разным уровнем доступа к таким сведениям, в зависимости от должности и полномочий.

Важно! Лица, получившие доступ к персональным данным по долгу службы подписывают обязательство о неразглашении, за несоблюдение которого предусмотрена ответственность.

Узнайте, как правильно удалить трудовой договор уволенного работника с компьютера сотрудника отдела кадров, в системе КонсультантПлюс. Доступ в КонсультантПлюс является платным, стоимость его можно узнать здесь. Бесплатный пробный доступ на 2 дня можно подключить по ссылке.

Обеспечение безопасного хранения персональных данных работников

Работодатель обязан предпринять меры по защите персональных данных. По закону, хранить личные сведения сотрудников нужно до 75 лет (точный срок зависит от типа документов). Все это время компания должна обеспечивать сохранность информации, не допускать несанкционированного доступа к ней, копирования, изменения, блокирования данных и т.д.

Категория

Средства защиты персданных

Аппаратные

межсетевые экраны, генераторы шума, аппаратные хранилища паролей

Средства аутентификации

Пароли

Физические

Сейфы, замки, пропускная система, видеонаблюдение

Криптографические

Шифрование данных

DLP-системы

Специализированное ПО, предотвращающее утечку информации и несанкционированный доступ к ней

Программные

Антивирусы, ПО, обнаруживающие несанкционированный доступ

Хранить документы, содержащие персданные, можно в электронной форме при помощи использования специализированных автоматизированных систем или в бумажной.

Ограничение доступа к данным работников, хранящимся на бумаге

Если компания применяет неавтоматизированную систему обработки, то, в целях обеспечения безопасности руководство обязано:

  • определить надежные места хранения документов, например, сейф, архив;
  • обеспечить закрытый доступ к материальным носителям;
  • определить круг лиц, кто имеет доступ к закрытым данным;
  • защитить помещение сигнализацией или другими средствами.

Не менее важно определить перечень документов, содержащих персональные данные сотрудников, которые подлежат охране. По закону, к ним относят:

  • копии паспортов, СНИЛС, ИНН, свидетельства о браке, разводе, рождения детей;
  • личные карточки, дела;
  • анкеты, заполняемые соискателями;
  • трудовые книжки, выписки из них, другие сведения о стаже, предыдущем месте работы, образовании, квалификации и пр.;
  • копия военного билета и другие документы воинского учета, хранящиеся в организации;
  • трудовой договор, дополнительные соглашения к нему;
  • приказы о назначении на должность, переводе;
  • внутренняя документация, где содержится личная информация о работниках.

Ограничение доступа к данным работников в электронной форме

Неавтоматизированная система обработки персональных данных уходит в далекое прошлое. Большинство компаний использует автоматизированные средства. Работодатель обязан обеспечить безопасность таких сведений посредством выполнения законодательных рекомендаций. Согласно Приказу №21 ФСТЭК, защита персональных данных осуществляется посредством выполнения следующих мероприятий:

  • ограничения доступа к электронным базам, определением круга лиц, имеющих возможность пользоваться такими системами;
  • применения двухфакторной аутентификации;
  • регулярной смены паролей.

Ключи для доступа к электронным базам с персданными должны выдаваться лично в руки ответственным лицам. Их нельзя пересылать по электронной почте, через мессенджеры, называть по телефону, и тем более, передавать через других работников.

Получение согласия на обработку персональных данных

Каждый работник имеет право на защиту персональных данных и не обязан разглашать личную информацию о себе, если считает нужным. Но для трудоустройства без предоставления таких сведений не обойтись. Во-первых, соискатель заполняет анкету, во-вторых, подает работодателю паспорт, трудовую книжку, военный билет, ИНН, СНИЛС, диплом, подтверждение достаточной квалификации и другие документы. Несмотря на то, что по закону для сбора и обработки такой информации согласие от соискателя не требуется, многие компании берут его. Фактически, человек сам разрешает собирать и обрабатывать персданные, что подтверждено документально. Лучше перестраховаться, чем в будущем получить штраф от контролирующего органа.

Если работодатель планирует распространять персональные данные сотрудника, например, публиковать их на официальном сайте, на странице в социальной сети, на общедоступных стендах, журналах и т.д., то работник должен дать на это соответствующее согласие. Без такого документа нельзя даже напечатать визитку с номером телефона и именем работника.

Рекомендации Роскомнадзора по защите персональных данных

После вступления в силу поправок в Федеральный закон «О персональных данных» Роскомнадзор разработал и опубликовал рекомендации по применению норм законодательства. Обратите внимание на них.

  1. Назначьте ответственное лицо. Четко определите перечень полномочий, касающихся сбору, обработке, хранению перснаднных.
  2. Сократите объем собираемой личной информации. Например, для продажи товаров достаточно ФИО, адреса доставки и номера телефона покупателя. Чем меньше сведений вы получите, тем легче их хранить.
  3. Сгруппируйте персданные по категориям. К примеру, разделите сведения о клиентах, работниках и соискателях.
  4. Не собирайте личные данные, если в этом нет необходимости, например, не создавайте клиентский профиль, когда он нужен для единичной продажи. Удаляйте персональные сведения после их использования.
  5. Используйте только собственную автоматизированную систему обработки персданных.
  6. При обнаружении признаков утечки информации незамедлительно уведомляйте об инциденте Роскомнадзор.

Не забывайте о применении физических мер защиты персданных. Закрывайте доступ к помещению, где находятся носители информации, оборудуйте его видеонаблюдением.

Уведомление Роскомнадзора об обработке персональных данных

Для обеспечения защиты персональных данных в организации законодатель установил обязанность для работодателей уведомлять Роскомнадзор о намерении обрабатывать личную информацию. Такое извещение составляют по унифицированной форме и направляют в ведомство:

  • на бумажном носителе Почтой России заказным письмом с уведомлением о вручении и описью вложений (желательно);
  • онлайн, на официальном сайте Роскомнадзора;
  • удаленно, через Госуслуги, если у компании есть идентифицированный аккаунт.

Обратите внимание, что работодатель обязан уведомить Роскомнадзор не только об обработке персональных данных, но и о их распространении. Например, это нужно, когда руководство планирует разместить фото сотрудника на «Доске Почета» в качестве работника месяца.

Определение уровня защищенности персональных данных

Работодатель обязан не только обеспечить надлежащую защиту, но и определить уровни защищенности персональных данных

Определить уровни защищенности можно онлайн, на официальном сайте ФСТЭК при помощи специального калькулятора.

Уровни защиты персональных данных регламентированы Постановлением Правительства РФ №1119 от 01.11.2012 г. Они зависят от тип угроз и численности сотрудников.

Что делать в случае утечки персональных данных сотрудника

Работодатель обязан немедленно уведомить Роскомнадзор о произошедшем несанкционированном доступе к персональным данным сотрудников и утечке информации. Далее он должен организовать внутреннюю проверку и установить:

  • причины инцидента;
  • виновных лиц;
  • последствия.

Отчет о проведенном внутреннем расследовании направляют в Роскомнадзор в течение 3-х дней с даты выявления инцидента.

Ответственность за несоблюдение требований по защите персональных данных

За невыполнение или ненадлежащее выполнение требований к защите персональных данных работодателя могут привлечь к административной ответственности по ст.13.11 КоАП РФ.

Правонарушение

Штраф для организаций, в рублях

Обработка персданных в случаях, не предусмотренных законодательством или в несоответствующих целях

От 60 000 до 100 000

Правонарушение совершено повторно:

От 100 000 до 300 000

Обработка персданных без согласия субъекта, когда оно нужно

От 300 000 до 700 000

Правонарушение совершено повторно:

От 1 000 000 до 1 500 000

Невыполнение требований субъекта об уточнении персданных, уничтожении, блокировке

От 50 000 до 90 000

Правонарушение совершено повторно:

От 300 000 до 500 000

Невыполнение требований об обеспечении безопасность персданных при использовании неавтоматизированной системы, если это привело к утечке

От 50 000 до 100 000

За незаконный сбор, передачу, использование персональных данных предусмотрена уголовная ответственность в соответствии со ст.272.1 УК РФ.

Итоги

Работодатель является оператором персональных данных, в связи с чем он обязан обеспечить сохранность полученной от сотрудников личной информации. Способы и меры защиты персональных данных установлены законодательством. За несоблюдение регламентированных Постановлением Правительства требований и нарушение порядка сбора, обработки, хранения личной информации субъекта предусмотрена ответственность.

Источник

Защита персональных данных работника

Работодатель вправе получать, хранить, обрабатывать и использовать персональные данные работника.

Важно! Работодатель и его представители обязаны соблюдать установленные законодательством требования при получении, хранении и обработке персональных данных работника (ст. 86 ТК РФ).

I. Законодательством определены права и обязанности работодателя при обработке персональных данных работника.

А. Работодатель не имеет права:

— сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами;

— сообщать персональные данные работника в коммерческих целях без его письменного согласия;

— запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

— передавать персональные данные работника представителям работников в ином порядке, чем установлен ТК РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций;

— получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами;

— при принятии решений, затрагивающих интересы работника, основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

Важно! Работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных ТК РФ и другими федеральными законами.

Согласно ст. 10 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных ч. 2 ст. 10 ФЗ N 152-ФЗ.

Важно! Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Допускается использование работодателем персональных данных оценочного характера, например, при составлении характеристики или представления в целях аттестации. Права работника при использовании работодателем персональных данных оценочного характера регламентированы ст. 89 ТК РФ.

Б. Работодатель обязан:

— разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

— предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). (Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами);

— осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись.

Законодательством установлены требования, согласно которым все персональные данные работника следует получать у него самого.

Важно! Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

При этом работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

Важно! Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

II. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Важно! Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами.

Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном ТК РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной (ст. 5.39, 13.11, 13.14 КоАП РФ) и уголовной ответственности (ст. 137, 140, 272 УК РФ) в порядке, установленном федеральными законами.

III. В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

— полную информацию об их персональных данных и обработке этих данных;

— свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

— определение своих представителей для защиты своих персональных данных;

— доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;

— требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ или иного федерального закона.

При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

— требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.

Работники не должны отказываться от своих прав на сохранение и защиту тайны.

Важно! Работник имеет право на обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Источник

Понравилась статья? Поделить с друзьями:
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
  • Сальваниос инструкция по применению дезсредства
  • Пудинг dr oetker инструкция
  • Журнал ознакомления с должностными инструкциями в доу
  • Детримакс спрей инструкция по применению
  • Как сдать груз в деловые линии инструкция